Hakovan Dropbox Sign, hakeri ukrali informacije o korisnicima

Vesti, 07.05.2024, 08:30 AM

Hakovan Dropbox Sign, hakeri ukrali informacije o korisnicima

Početkom meseca, Dropbox je objavio rezultate istrage o hakovanju svoje infrastrukture, ne precizirajući kada se incident zaista dogodio. Napad su primetili zaposleni u kompaniji 24. aprila.

Nepoznati napadači su uspeli da kompromituju nalog Dropbox Sign usluge e-potpisa i tako dobiju pristup internom mehanizmu automatske konfiguracije platforme. Koristeći ovaj pristup, hakeri su mogli da se dočepaju baze podataka koja sadrži informacije o korisnicima Dropbox Signa.

Ukradeni su sledeći podaci registrovanih korisnika Signa: korisnička imena, email adrese, brojevi telefona, lozinke (heširane), opšta podešavanja naloga i određene informacije o autentifikaciji (ključevi za autentifikaciju za Dropbox Sign API, OAuth tokeni za autentifikaciju, SMS i aplikacijski tokeni za dvofaktornu autentifikaciju). Napad je otkrio i email adrese i imena ljudi koji su samo primali ili potpisivali dokumente preko Dropbox Signa ali nikada nisu registrovali nalog. Lozinke korisnika koji su koristili opciju „sign up with…” su bezbedne.

Dropbox tvrdi da nije pronašao tragove neovlašćenog pristupa sadržaju korisničkih naloga, odnosno dokumentima i ugovorima, kao i informacijama o plaćanju.

Dropbox je resetovao lozinke za sve Dropbox Sign naloge i prekinuo sve aktivne sesije, tako da korisnici moraju ponovo da se prijave i postave novu lozinku.

Dropbox Sign, ranije poznat kao HelloSign, je Dropboxov alat za dokumente u oblaku, koji se prvenstveno koristi za potpisivanje elektronskih dokumenata. Najbliži analozi ove usluge su DocuSign i Adobe Sign.

Kako je kompanija naglasila u svojoj izjavi, infrastruktura Dropbox Signa je „u velikoj meri odvojena od drugih Dropbox usluga“. Sudeći po rezultatima istrage, hakovanje Dropbox Signa je bio izolovan incident i nije uticao na druge Dropbox proizvode. Ovo važi i za one korisnike čiji je Sign nalog povezan sa njihovim glavnim Dropbox nalogom.

Šta treba da uradite ako vam je Dropbox Sign hakovan? Dropbox je već resetovao lozinke za sve Dropbox Sign naloge. Dakle, u svakom slučaju ćete morati da promenite lozinku. Trebalo bi koristiti potpuno novu lozinku umesto malo izmenjene verzije stare. Najbolje rešenje je generisati lozinku pomoću menadžera lozinki.

Pošto su tokeni za dvofaktorsku autentifikaciju takođe ukradeni, trebalo bi i njih resetovati. Za one koji koriste SMS 2FA, resetovanje je automatsko. Oni koji koriste aplikaciju, moraće to sami da urade.

Među podacima koje su ukrali hakeri su i ključevi za autentifikaciju za Dropbox Sign API. Dakle, ako je vaša kompanija koristila ovaj alat preko API-ja, morate da generišete novi ključ.

Takođe, ako ste koristili istu lozinku na bilo kom drugom mestu, trebalo bi da je promenite što pre, posebno ako ste koristili isto korisničko ime, email adresu ili telefonski broj koji ste naveli i prilikom registracije Dropbox Sign naloga.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Prevaranti koriste slike sa Google Street View za iznudu

Prevaranti koriste slike sa Google Street View za iznudu

Istraživači bezbednosti iz firme Cofense upozoravaju da prevaranti koriste slike sa Google Street View-a da zastraše korisnike koji su žrtve napad... Dalje

Google najavio nove funkcije za Google Chrome: jednokratne dozvole za sajtove i unapređeni Safety Check

Google najavio nove funkcije za Google Chrome: jednokratne dozvole za sajtove i unapređeni Safety Check

Google je najavio da uvodi nove funkcije u Chrome koje korisnicima daju veću kontrolu nad njihovim podacima i štite ih od onlajn pretnji. „Sa... Dalje

Temu negira da je hakovan i da su podaci korisnika ukradeni

Temu negira da je hakovan i da su podaci korisnika ukradeni

Popularna kineska onlajn prodavnica Temu kategorički je negirala da je hakovana i da su podaci korisnika ukradeni, nakon što je na poznatom hakersko... Dalje

Apple odustao od tužbe protiv proizvođača softvera za nadzor Pegaz

Apple odustao od tužbe protiv proizvođača softvera za nadzor Pegaz

Apple je podneo zahtev da „dobrovoljno“ odbaci tužbu protiv prodavca čuvenog špijunskog softvera Pegaz, NSO Grupe, navodeći kao razlo... Dalje

Facebook, Instagram i mnogi drugi veliki sajtovi odbili Appleov trening AI modela sa njihovim podacima

Facebook, Instagram i mnogi drugi veliki sajtovi odbili Appleov trening AI modela sa njihovim podacima

Brojne istaknute novinske kuće i društvene mreže kao što su New York Times, Wired i Instagram odbile su Appleov trening AI modela sa njihovim poda... Dalje